Getty Images

Im Vergleich: SaaS-Aufbewahrungsregeln von 4 Providern

SaaS-Anwendungen werden von vielen Unternehmen eingesetzt. Oft sind jedoch die Regeln für Aufbewahren oder Löschen von Daten nicht klar geregelt oder den Anwendern bewusst.

Software-as-a-Service (SaaS) ist zu einer Alltagsmethode für viele Unternehmen geworden, aber es ist nicht immer klar gewesen, ob die Kundendaten völlig vor zufälligem Löschen, unkorrekten Änderungen oder ähnlichen Szenarien geschützt sind. In einigen Fällen können Backups dabei helfen, sich von solchen Fehlern wieder zu erholen – in Abhängigkeit ihrer Häufigkeit.

Backups helfen jedoch nur, wenn sie den Aufbewahrungsregeln (Retention Policies) der Daten entsprechen. Solche Aufbewahrungsregeln legen die Zeitdauer fest, in der Daten vorgehalten werden, bevor sie dauerhaft vom System gelöscht werden.

SaaS-Aufbewahrungsregeln unterscheiden sich je nach Hersteller deutlich und sogar selbst zwischen den Produkten des gleichen Herstellers. Verschiedene Produkte zeigen nicht nur, wie sich die Regeln unterscheiden, sondern sie verweisen auch darauf, wie wichtig es ist, wenn diese Regeln auf Cloud-basierte Services verweisen. Sobald Daten aus dem System eines Herstellers gelöscht worden sind, sind sie für immer weg – außer es existiert ein Backup.

Im Folgenden beschreiben wir vier Hersteller, die SaaS-Optionen zur Verfügung stellen, und wie ihre Aufbewahrungsregeln aussehen.

Dropbox

Dropbox stellt eine gemeinsame Umgebung für das Speichern, Synchronisieren und Teilen von Dateien zur Verfügung. Der Service speichert gelöschte Dateien und frühere Dateiversionen für eine bestimmte Anzahl von Tagen, je nach Service-Niveau. Für persönliche Pläne – Basic, Plus und Family – behält Dropbox die Dateien und ihre Versionen für 30 Tage. Für Dropbox Professional und Business beträgt diese Dauer 180 Tage. Kunden von Dropbox Business können sich für die Add-ons Extended Version History oder Data Governance entscheiden, die ihnen zehn Jahre an Versionsgeschichte bieten, und Kunden von Dropbox Plus können das Add-on Extended Version History nutzen, um ein Jahr an Versionsgeschichte zu erhalten.

Anwender können auch dauerhaft Dateien löschen, die ihnen gehören, womit der Service sofort die Dateien von den Dropbox-Servern entfernt. Außerdem können Team-Administratoren von Dropbox Business alle Team-Dateien für immer löschen, egal welchem Team-Mitglied sie gehören. Sie können auch die Fähigkeit von Team-Mitgliedern begrenzen, Dateien auf Dauer zu löschen. Sobald Dateien für immer gelöscht worden sind, können sie nicht wiederhergestellt werden.

Das Add-on Data Governance ermöglicht es jedoch Business-Team-Administratoren, Aufbewahrungs- und Verwendungsregeln zu erzeugen, um Compliance- und Behördenanforderungen sowie anderen geschäftlichen Bedürfnissen zu entsprechen.

Google

Google bietet viele SaaS-Produkte an, und das Verständnis der verschiedenen Aufbewahrungsregeln des Unternehmens kann eine entmutigende Aufgabe sein, besonders im Vergleich zu SaaS-Anbietern wie zum Beispiel Dropbox. Laut Google behält man „die Daten, die wir einsammeln, für eine unterschiedliche Zeitdauer, je nachdem um was es sich handelt, wie wir es verwenden und wie der Kunde seine Einstellungen konfiguriert hat“. Die Anwender können ihre Daten, die sie erzeugt oder hochgeladen haben, löschen, wann immer sie wollen, oder sie können automatische Löschaktionen zu bestimmten Zeitpunkten einstellen. Wenn ein Anwender Daten löscht, startet Google einen Prozess, mit dem die Daten komplett aus seinen Speichersystemen entfernt werden. Dies kann bis zu zwei Monate dauern, obwohl die Daten auch bis zu sechs Monaten in den Backup-Systemen von Google verbleiben können.

SaaS-Aufbewahrungsregeln verändern sich deutlich von einem Google-Service zum nächsten und sie können sich auch mit der Zeit verändern. Zum Beispiel pflegte Google Drive Dateien, die in den Mülleimer verschoben worden waren, solange aufzubewahren, bis sie der Anwender eindeutig löschte oder bis der Account geschlossen wurde. Im Oktober 2020 erneuerte Google seine Aufbewahrungsregeln, so dass Dateien, die in den Mülleimer gewandert waren, automatisch nach 30 Tagen endgültig gelöscht werden.

Dies verhält sich ähnlich zu dem, wie Gmail lange mit E-Mails umgegangen ist. Nach 30 Tagen im Mülleimer werden sie automatisch gelöscht. Diese Aufbewahrungsregel unterscheidet sich sehr stark von der für Google Cloud Filestore, einem komplett verwalteten Service für File Storage. Wenn ein Administrator eine Filestore-Instanz löscht, werden alle Daten auf dieser Instanz gelöscht und können nicht wiederhergestellt werden, außer es findet ein Backup statt. Google bietet für Filestore-Daten keine 30-Tagesfrist an.

Microsoft

Microsoft bietet eine breite Palette von SaaS-Produkten an, deren Aufbewahrungsregeln sich deutlich unterscheiden und schwierig zu verfolgen sein können. Selbst innerhalb eines einzigen Service kann es unterschiedliche Regeln geben. Zum Beispiel definiert Microsoft 365 zwei Arten von Löschszenarien: aktiv und passiv. Aktives Löschen geschieht, wenn ein Anwender oder Administrator Daten löscht, und passives Löschen findet statt, wenn die Subskription eines Kunden endet.

Microsoft behält die Inhalte eines Kunden für 30 Tage nach einer aktiven Löschung und für 180 Tage nach einer passiven Löschung. Wenn darüber hinaus eine bezahlte Subskription beendet wird, behält Microsoft die Kundendaten in einem begrenzten Zugang für 90 Tage, um dem Kunden zu ermöglichen, seine Daten zurückzuholen.

Kunden von Microsoft 365 können auch ein beschleunigtes Subskriptionsende einfordern, bei dem die Daten drei Tage, nachdem ein Administrator den Lockout-Code eingegeben hat, gelöscht werden. Zusätzlich können Kunden Aufbewahrungsregeln für bestimmte Microsoft-365-Services wie zum Beispiel Exchange Online, SharePoint Online, Microsoft Teams, OneDrive for Business und andere anwenden. Auf diese Weise kann ein Unternehmen Inhalte für immer aufbewahren oder kontinuierlich nach einer bestimmten Zeitperiode löschen. Microsoft 365 ist nur eines von vielen Cloud-Angeboten von Microsoft, wobei jedes über seine SaaS-Aufbewahrungsregeln verfügt. Zum Beispiel behält Azure Application Insights seine Raw Data Points bis zu 730 Tagen, aber Kunden können auch kürzere Aufbewahrungsfristen einstellen.

Slack

Verglichen mit Google und Microsoft ist ein Produkt wie Slack – eine Online-Plattform für Kommunikation und Zusammenarbeit – viel leichter zu verstehen, wenn es um seine SaaS-Aufbewahrungsregeln geht. Slack behält alle Nachrichten und Dateien für die Dauer eines Kunden-Workspace, außer wenn die Daten direkt von einem Endanwender gelöscht werden oder wenn die Daten aufgrund einer bestimmten Aufbewahrungsregel ihre Gültigkeit verlieren. Slack entfernt alle gelöschten oder abgelaufenen Daten jede Nacht von seinen Produktions-Servern. Die Daten werden dann innerhalb von 14 Tagen von den Backup-Systemen von Slack gelöscht. Sobald die Daten vollständig gelöscht worden sind, können sie nicht wiederhergestellt werden, selbst wenn das von Justizinstitutionen oder Regierungsstellen verlangt wird.

Kunden können Aufbewahrungsregeln individuell konfigurieren, die angeben, wann Daten zu löschen sind. Die Aufbewahrungseinstellungen beziehen sich auf alle Nachrichten und Dateien, einschließlich jener, die festgelegt (pinned) oder gespeichert wurden. Wenn Aufbewahrungsregeln für ihre Daten definiert werden, können die Kunden diese Daten zusammen mit der Verfolgung von Aufbereitung und Löschung behalten oder sie können die Daten ohne solche Aktionen behalten. Sie können auch festlegen, dass ihre Daten nach einer bestimmten Anzahl von Tagen automatisch gelöscht werden. Zusätzlich können die Administratoren einzelnen Team-Mitgliedern die Berechtigung einräumen, Aufbewahrungseinstellungen für individuelle Konversationen auszuschalten. Trotz der Einstellungen sind jedoch alle Löschaktionen von Nachrichten und Dateien dauerhaft.

Erfahren Sie mehr über Cloud Storage